Hallo Freunde,

verwende Firefox in der aktuellsten Version (3.6.11) auf Windows XP prof.

Ein Scan mit Malwarebytes' Anti-Malware hat mich auf das Verzeichnis C:\Windows\system32\xmldm aufmerksam gemacht. (Stolen Data).

Mit diesem Verzeichnis kann ich folgendes Verhalten beobachten:
Sobald ich mit Firefox eine Seite öffne, die Login-Daten erfordert, werden dort Dateien angelegt nach folgendem Muster:
3204_FF_0000000989_ifrm.htm
3204_FF_0000000990_ifrm.htm
3204_FF_0000000991.pst
3204_FF_0000000992_ifrm.htm

Die ersten beiden Dateien wurden beispielsweise erstellt in dem Moment, als ich auf die T-Online-Seite kam. Wenn ich dann meine Zugangsdaten eingebe werden die beiden nächsten Dateien erstellt. Die *.htm Dateien scheinen die Abbilder der besuchten Seiten zu sein. Sie enthalten soweit ich das beurteilen kann die URL der Originalseite mit zig Parametern. Die.pst Datei enthält ebenfalls eine URL und mittendrin meine gesendeten Zugangsdaten in Klarschrift. Die letzte Datei gibt dann wohl das Ergebnis wieder, ob der Zugang erfolgreich war oder nicht.

Ich weiß nicht, ob das bei jeder Seite passiert, die ein Formular enthält oder nur bei https . Ich vermute letzteres.

Dieses Verhalten gibt es nur bei Firefox. Dieselbe Seite in IE6 geöffnet passiert nix (hopefully ... zumindest nicht an dieser Stelle). Wenn man das Verzeichnis löscht, wird es neu angelegt und befüllt, sobald man mit FF auf eine entsprechende Seite kommt.

Ich verwende Avira Antivir Personal. Ein Komplettscan des System zeigt keinerlei Infektion oder sonstige Hinweise. Ein Komplettscan mit Malwarebytes zeigt mir das Verzeichnis xmldm mit dem Hinweis "Stolen.Data" an, gibt aber ansonsten für alle Infektionsarten 0 aus.

Hat jemand eine Idee, was das sein könnte und wie man´s wieder los wird.

Vielen Dank für eure Mühe.

Zitat:

Ein Komplettscan mit Malwarebytes zeigt mir das Verzeichnis xmldm mit dem Hinweis "Stolen.Data" an, gibt aber ansonsten für alle Infektionsarten 0 aus.

Das Log bitte immer posten!

Sorry, nix gedacht.
Vor allem hatte ich nicht dran gedacht bei meinem "Komplettscan" die externen Festplatten mit zu brücksichtigen. Also nochmal von vorne:

1. Komplettscan mit MalwareByte findet Infektionen: mbam-log-2010-10-26 (08-57-30) ... das sind die externen Platten, die ich vergessen hatte.

2. Infektionen beseitigt / Reboot / erneuter Komplettscan, diesmal ohne Befund: mbam-log-2010-10-26 (12-31-39)

3. Firefox starten: In diesem Moment wird das Verzeichnis windows/system32/xmldm angelegt.

4. irgendeine Seite mit https aufrufen (in diesem Fall t-online.de) und die ersten Dateien tauchen im Verzeichnis xmldm auf.

5. Einloggen als MEINNAME mit MEINPASSWORT und dann in der frischerstellten *.pst-Datei genauso nachzulesen.

6. diesmal nur Quickscan: mbam-log-2010-10-26 (17-14-43)

7. goto 2.

------
Danke
Jürgen

... ups! Schon wieder nix gedacht: Load und die anderen Protokolle folgen nach

So, nochmals sorry, ich hoffe ich hab nun alles richtig gemacht.

Alle Logs im Anhang,
defogger_disable lässt sich nicht anfügen. Inhalt wie folgt:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:40 on 26/10/2010 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Zitat:

[2010.10.25 16:44:47 | 000,000,000 | ---D | C] -- C:\Qoobox

1. sollte Combofix nur auf Anweisung hin ausgeführt werden
2. darfst Du auch das Log nicht einfach weglassen

Hallo Arne,
ich mach schon mehrere Tage rum und hab in der Zeit so ziemlich alles ausprobiert, was irgendwo mal empfohlen wurde. Wahrscheinlich hab ich´s dadurch nur schlimmer gemacht. Combofix ist irgendwann früher mal gelaufen. Das Log, das du ansprichst ist wahrscheinlich das im Anhang. Als ich dann dieses Forum gefunden habe, ist mir klar geworden, dass ich´s alleine nicht schaffen kann und vor allem einen roten Faden reinbringen muss. Aus meinen Mails kannst du sicher rauslesen, dass ich etwas durch den Wind war/bin.
Siehst du eine Chance, dass noch was zu retten ist? Danke für deine Hilfe.
Jürgen

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
@Alternate Data Stream - 951 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:ivIv6dDUpE1Aygfy55WGg33WYS
@Alternate Data Stream - 789 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:dK5PP84onzag4IvvD2xGTCUq
@Alternate Data Stream - 780 bytes -> C:\Programme\WindowsUpdate:QaXdOyoyO0W4f6eYMLxYXDpqb
@Alternate Data Stream - 100 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CC9DD8FE
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Ok, ist gelaufen.
Log im Anhang
Reboot war nötig
im Verzeichnis MovedFiles steht am Ende ../System32/drivers/etc/hosts

LOG will sich nicht anhängen lassen ("ungültige Datei" ?)

10282010_145731.log

All processes killed
========== OTL ==========
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:ivIv6dDUpE1Aygfy55WGg33WYS deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:dK5PP84onzag4IvvD2xGTCUq deleted successfully.
ADS C:\Programme\WindowsUpdate:QaXdOyoyO0W4f6eYMLxYXDpqb deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CC9DD8FE deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: l-vis
->Temp folder emptied: 108472752 bytes
->Temporary Internet Files folder emptied: 23155761 bytes
->Java cache emptied: 221949 bytes
->FireFox cache emptied: 20212898 bytes
->Flash cache emptied: 554 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: SysBuilder
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5010 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 145,00 mb


OTL by OldTimer - Version 3.2.17.1 log created on 10282010_145731

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ok, ComboFix ist gelaufen.
ich habe deine Anweisungen so verstanden, dass zuerst CCleaner durchgeführt werden muss. Die Anleitung dazu ist nicht mehr 100% uptodate. Statt der yahoo-Toolbar gab`s eine Seite weiter eine Google-Toolbar (aufpassen, dass die nicht aus versehen mit installiert wird !)
Der Avira-Schlüssel blieb zum Schluss noch wie beschrieben übrig.

Combofix hat dann auch prompt avira angemeckert und das gleich 4x, ich kann Avira aber nur deaktivieren, nicht ganz ausschalten.

Reboot gab´s auch keinen nach Combofix. Statt C:\Combofix habe ich ein Verzeichnis C:\cmdcons erhalten und das Log befand sich an anderer Stelle. Anyway, here it is:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-10-27.A3 - l-vis 28.10.2010  23:17:44.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.511 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\l-vis\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-010D-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\xmldm

.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-28 bis 2010-10-28  ))))))))))))))))))))))))))))))
.

2010-10-28 12:57 . 2010-10-28 12:57	--------	d-----w-	C:\_OTL
2010-10-26 16:26 . 2010-10-26 16:27	--------	d-----w-	c:\programme\ERUNT
2010-10-07 18:04 . 2010-10-23 09:34	--------	d-----w-	c:\dokumente und einstellungen\l-vis\TV-Browser
2010-10-07 18:04 . 2010-10-07 18:04	--------	d-----w-	c:\programme\TV-Browser
2010-10-05 19:59 . 2010-10-05 19:59	--------	d-----w-	c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Malwarebytes
2010-10-05 19:59 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-05 19:59 . 2010-10-05 19:59	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-10-05 19:59 . 2010-10-05 19:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-05 19:59 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-05 19:23 . 2010-10-28 20:51	--------	d-----w-	c:\programme\CCleaner
2010-10-04 09:22 . 2010-10-04 09:22	--------	d-----w-	c:\dokumente und einstellungen\l-vis\.thumbnails

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-19 15:38 . 2007-06-30 10:09	164880	---ha-w-	c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll
2010-09-28 08:11 . 2006-07-15 18:39	60416	----a-w-	c:\windows\ALCFDRTM.VER
2006-05-03 09:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-10-25_15.01.50   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-10-26 16:28 . 2010-10-26 16:28	61440              c:\windows\ERDNT\26.10.2010\Users\00000004\UsrClass.dat
+ 2010-10-26 16:28 . 2010-10-26 16:28	8192              c:\windows\ERDNT\26.10.2010\Users\00000006\UsrClass.dat
+ 2010-10-26 16:28 . 2010-10-26 16:28	8192              c:\windows\ERDNT\26.10.2010\Users\00000002\UsrClass.dat
+ 2010-10-26 16:28 . 2010-10-26 16:28	237568              c:\windows\ERDNT\26.10.2010\Users\00000005\NTUSER.DAT
+ 2010-10-26 16:28 . 2010-10-26 16:28	237568              c:\windows\ERDNT\26.10.2010\Users\00000001\NTUSER.DAT
+ 2010-10-26 16:28 . 2005-10-20 10:02	163328              c:\windows\ERDNT\26.10.2010\ERDNT.EXE
+ 2005-09-29 15:07 . 2010-10-25 23:13	2396176              c:\windows\system32\FNTCACHE.DAT
+ 2010-10-26 16:28 . 2010-10-26 16:28	16678912              c:\windows\ERDNT\26.10.2010\Users\00000003\NTUSER.DAT
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2007-12-30 1365504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 577536]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-7-19 113664]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-10-3 813584]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 10:28	72208	----a-w-	c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2007-08-30 05:32	61440	----a-r-	c:\programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-12-07 21:57	30208	------w-	c:\programme\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SansaDispatch]
2007-10-22 11:52	75584	----a-w-	c:\programme\Sandisk\Sansa Updater\SansaDispatch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RichVideo"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe_ID0EYTHM"=c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"WinSys2"=c:\windows\system32\winsys2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.08.2009 21:36 108289]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [03.10.2009 23:32 10384]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
S4 Mouautidcim;Mouautidcim; [x]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Download by GAS - c:\progra~1\GETASF~1\ie_MenuExt.htm
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=de&q=
FF - component: c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\component.dll
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - component: c:\windows\system32\5003\components\AcroFF003.dll
FF - plugin: c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-28 23:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{0B4301F9-2D2F-1215-19C1-D069FCD8917B}*]
"oaefccecinhbnhcjmjacepnpeodcgo"=hex:64,61,65,64,62,6d,6d,66,00,d0
"oaagimkjimhmbjpfkelieoncppnfcj"=hex:6a,61,65,64,70,6c,66,67,62,67,64,66,6c,6d,
   6c,70,62,67,66,6a,00,fd
"naodmckcjmlbfgdjjonhmnnflgdm"=hex:6a,61,65,64,70,6c,66,67,62,67,64,66,6c,6d,
   6c,70,62,67,66,6a,00,fd

[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{46CA0A83-C9D3-257D-1BAF-C9F96110EA81}*]
"oadcojgpmpjljmnegbihbdjbkaogob"=hex:6b,61,63,70,67,62,63,6b,63,6c,6d,69,6b,66,
   62,6c,6e,6d,6f,6f,65,6f,00,00
"nanaeihhoeemfkelkcddmfkaboeh"=hex:6a,61,70,6f,65,62,6f,6f,61,6e,6d,67,6f,61,
   68,61,63,66,6d,6e,00,fd
"oapaokkfmabgimhilckoabmhacpfnp"=hex:64,61,70,6f,65,62,66,62,00,60
"ealaokgpkn"=hex:61,61,00,00
"caabel"=hex:6c,62,64,70,67,6d,6f,6f,6b,70,6f,65,6b,6a,6f,64,70,6a,62,61,62,62,
   70,6e,66,69,62,6b,6c,6e,6a,6c,70,65,69,6c,69,69,67,63,66,67,6b,70,66,6c,6d,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(908)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(1716)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\SSSensor.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\msi.dll
.
Zeit der Fertigstellung: 2010-10-28  23:25:28
ComboFix-quarantined-files.txt  2010-10-28 21:25

Vor Suchlauf: 1.389.957.120 Bytes frei
Nach Suchlauf: 1.375.481.856 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 8EDE3C13F2A8DD556B65C607ADAAD283
         

--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Seccenter::
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-010D-0D24-347CA8A3377C}

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Regnull::
[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{0B4301F9-2D2F-1215-19C1-D069FCD8917B}*]
[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{46CA0A83-C9D3-257D-1BAF-C9F96110EA81}*]

Driver::
Mouautidcim
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Aktuelles Combofix-log
... hat das Ding, das wir hier bekämpfen einen Namen?

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Die gewünschten Logs im Anhang

... ein kleines Dankeschön für deine Mühe zwischendurch !

Jürgen